保护工控安全：为SCADA及ICS系统打补丁.docVIP

本文，我们来探讨一下用打补丁的方法为SCADA 和 ICS系统提供安全保障的好处、弊端及其不为人知的内幕。首先，我们假设不需要关闭进程也可以安装补丁(比如说，为冗余控制器分阶段打补丁)…… “你可能要面临风险了，我的朋友……”图片来源： 为SCADA 和 ICS安全而打补丁的影响 在一篇针对OS软件发布后公开披露的漏洞补丁的重要研究中，Yin等指出所有补丁中有14.8%到24.4%是错误的并会直接危害到最终用户。更糟糕的情况是，这些错误的“解决方案”中有43%会导致系统崩溃，瘫痪，资料损坏或其他安全问题。 此外，补丁并不总能依照其所设计的那样解决对应的安全问题。如工业控制系统-计算机应急响应小组(ICS-CERT)成员Kevin Hemsley所言，在2011年ICS-CERT发现，通过打补丁来修复发布的控制系统产品漏洞出现了60%的失败率。 即使是好的信息安全补丁也可能引起问题 大多数的补丁需要关闭或重启正在运行的操作。有些可能也会中断或解除掉之前依靠控制系统运行的功能。例如，Stuxnet蠕虫病毒攻击的其中一个漏洞是西门子 WinCC 系统SQL 数据库的硬编码密码。 与此同时，西门子也因未能及时发布解除密码的补丁而广受指责。而那些通过自己人为修改密码的客户则很快就会发现，许多关键的控制功能都需要这个密码才能进入。在这种情况下，所用的“解决方案”要比原来的“疾病”后果更加严重。 打补丁通常需要专家在场 关于打补丁还需要警惕的一点是打补丁的过程需要那些有专门技能的人在场。 举例来说，2003年1月Slammer病毒攻击的漏洞其实原本有一个在2002年发布的补丁(MS02-039)。不幸的是，这并没有帮助一家在墨西哥海湾拥有大量采油平台的公司逃过一劫。这家公司在2002年夏天开始打了补丁运行，但服务器还是重新出现了问题，需要windows专家在场打补丁。由于这些专家中只有极少人具有进入采油平台的安全认证，因而在六个月后受到Slammer病毒攻击时还有许多平台尚未打补丁。 若没有补丁会怎样 当然，你只有在供应商提供补丁时才能使用补丁修复漏洞。但不幸的是，并非所有漏洞都有对应的补丁。在2012年1月的SCADA信息安全技术研讨会(S4)上，Sean McBride表示在ICS-CERT记录的364个公开漏洞中只有不到一半在当时有可用补丁。 有些人指责供应商无动于衷和懒惰，但其实有很多因素阻碍了补丁的及时发布。 2010年，ICS的一家重要供应商告诉我在产品的关键任务内部测试中已经发现了安全隐患。但不幸的是，这些漏洞是嵌入在由第三方提供的OS软件中。现在OS提供商拒绝解决这些漏洞问题，因此ICS供应商(及其客户)就将面临无可用补丁的情况。 2011年的案例涉及另一家ICS供应商， 一名独立的信息安全研究人员发现了PLC中的漏洞，并公开披露了他们。该供应商开发了补丁准备撤除这些后门)，但随即他们发现这些后门被那些为用户提供检修服务的团队所广泛使用。而让这个问题更加棘手的是，这家公司产品变更的质量保证(QA)程序需要4个月才能完成。这意味着即使用户愿意为信息安全而放弃检修服务，他们仍需要接受四个月开放的空窗期等待正规的补丁测试流程结束。? ? 当用打补丁解决SCADA和ICS系统信息安全时，“解药”可能会比疾病本身后果更严重 许多SCADA/ICS使用者选择不打补丁 我的上一个例子突出了为保障关键系统安全而打补丁一个重要问题。那就是许多用户不想承担降低服务质量和增加停机故障的风险。而上上个例子提到的供应商私底下向我反映他们发布的漏洞只有10%的下载率。 我自己关于ICS安全产品的经验也证实了补丁在这个领域的接受程度较低。 按计划发布的补丁是有效补丁，应对性的补丁是无效补丁，紧急发布的补丁是危险补丁 我们明确一点，对任何控制系统而言，修补漏洞都是一项重要的进程。 而且对良好的信息安全而言修补漏洞很关键。但是从IT应对策略角度来说，每个月或每个周不间断地打补丁对SCADA和ICS系统来说并不可行。匆忙地打补丁更加危险。 SCADA/ICS供应商在尝试开发“紧急”补丁时会面临多个问题——他们需要考虑安全因素和质保(QA)要求，这通常会延迟补丁的发布。还在有些情况下，一个合理且安全的补丁也不起作用。 SCADA/ICS的用户有类似的顾虑。而且很坦白地讲，谁能因为他们不想增加系统故障或不想让他们的关键控制器或服务器系统面临安全威胁而责怪他们呢? 对合法产品的补丁支持也有问题——许多人希望一个控制产品能够运行20年，把它运行的比典型的IT支持窗口还好。最后，正如我们在Slammer病毒攻击例子中提到的，打补丁可能需要重要的人员帮助才能做到安全安装。 所以开始制定一个对你的运行环境有效的补丁计划吧。确保它包含恰当检测和变更管理控制的流程。 不要指望补